| 主题: 关于编辑器的安全 |
| 作者: Roddy, 发布日期: 2009-01-02 00:28:32, 浏览数: 5940 |
|
1. 要防止SQL注入攻击。
这个和普通输入框一样服务器端需要处理,比如mysql数据库如果拼SQL的话单引号、双引号、NUL前加斜线,或可以用bind方式。 2. 要防止恶意脚本攻击。 使用这样的可视化编辑器显示内容时要允许解析用户输入的HTML,攻击者可以用程序POST方式直接提交到服务器,所以首先要在服务器端过滤恶意脚本,在浏览器用javascript过滤恶意代码没什么意义。 3. 要防止上传文件攻击。 攻击者很容易利用编辑器的图片上传等功能上传攻击代码,所以一定要验证上传文件的类型和内容。 欢迎大家补充。 |
| 作者: none, 发布日期: 2009-01-18 03:29:59 |
|
这个编辑器没什么关系吧。
|
| 回复 |
